SQL Server 2025年11月更新 - 修復 CVE-2025-59499 Microsoft SQL Server 特權提升漏洞
Microsoft SQL Server 下載彙總
SQL Server GDR 和 CU 更新彙總
請訪問原文鏈接:https://sysin.org/blog/sql-server/ 查看最新版。原創作品,轉載請保留出處。
作者主頁:sysin.org
Microsoft SQL Server 特權提升漏洞 New
CVE-2025-59499
Security Vulnerability
發行版: 2025年11月11日
-
Assigning CNA:Microsoft
-
CVE.org link:CVE-2025-59499
-
影響:特權提升
-
最高嚴重性:重要
-
Weakness:CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
-
CVSS Source:Microsoft
-
字符串向量:
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C -
Metrics:CVSS:3.1 8.8 / 7.7
請參閲通用漏洞評分系統,以獲取有關這些指標定義的更多信息。
利用
下表為此漏洞提供初始發佈時的可利用性評估。
-
Publicly disclosed:No
-
Exploited:No
-
Exploitability assessment:不太可能利用
常見問題
攻擊者如何利用該漏洞進行攻擊?
攻擊者可以通過製作惡意數據庫名稱來注入任意 T-SQL 命令。
成功利用該漏洞的攻擊者可以獲得哪些特權?
成功利用此漏洞的攻擊者可以獲得運行查詢的進程的權限。例如,如果運行包含 SQL 注入的查詢的進程是 sysadmin 進程,那麼攻擊者就能獲得 sysadmin 特權。
我在系統上運行 SQL Server,需要採取什麼措施?
請更新與你所使用版本相對應的 SQL Server。所有相關驅動程序修復都包含在這些更新中。
我的 SQL Server 版本提供了 GDR 和/或 CU(累積更新)更新。我該如何選擇安裝哪一個?
- 首先,確定你的 SQL Server 版本號。有關如何確定 SQL Server 的版本、版本類型和更新級別的詳細信息,請參閲 Microsoft 知識庫文章 321185 ——《如何確定 SQL Server 及其組件的版本、版本類型和更新級別》。
- 其次,在下表中查找與你的版本號相符或位於相應版本範圍內的項。對應的更新就是你需要安裝的版本。
注意 如果你的 SQL Server 版本號未出現在下表中,説明該版本已不再受支持。請升級到最新的服務包或 SQL Server 產品,以便應用此更新和今後的安全更新。
| Update Number | Title | Version | Apply if current product version is… | This security update also includes servicing releases up through… |
|---|---|---|---|---|
| 5068406 | Security update for SQL Server 2022 CU21+GDR | 16.0.4222.2 | 16.0.4003.1 - 16.0.4215.2 | KB 5065865 - SQL2022 RTM CU21 |
| 5068407 | Security update for SQL Server 2022 RTM+GDR | 16.0.1160.1 | 16.0.1000.6 - 16.0.1150.1 | KB 5065221 - Previous SQL2022 RTM GDR |
| 5068404 | Security update for SQL Server 2019 CU32+GDR | 15.0.4455.2 | 15.0.4003.23 - 15.0.4445.1 | KB 5065222 - Previous SQL2019 RTM CU32 GDR |
| 5068405 | Security update for SQL Server 2019 RTM+GDR | 15.0.2155.2 | 15.0.2000.5 - 15.0.2145.1 | KB 5065223 - Previous SQL2019 RTM GDR |
| 5068402 | Security update for SQL Server 2017 CU31+GDR | 14.0.3515.1 | 14.0.3006.16 - 14.0.3505.1 | KB 5065225 - Previous SQL2017 RTM CU31 GDR |
| 5068403 | Security update for SQL Server 2017 RTM+GDR | 14.0.2095.1 | 14.0.1000.169 - 14.0.2085.1 | KB 5065224 - Previous SQL2017 RTM GDR |
| 5068400 | Security update for SQL 2016 Azure Connect Feature Pack+GDR | 13.0.7070.1 | 13.0.7000.253 - 13.0.7065.1 | KB 5065227 - Previous SQL2016 Azure Connect Feature Pack GDR |
| 5068401 | Security update for SQL Server 2016 SP3 RTM+GDR | 13.0.6475.1 | 13.0.6300.2 - 13.0.6470.1 | KB 5065226 - Previous SQL2016 RTM GDR |
什麼是 GDR 和 CU 更新名稱,兩者有何差別?
GDR(General Distribution Release,普通分發版本)和 CU(Cumulative Update,累積更新)對應於兩種不同的可用於 SQL Server 基線版本的服務選項。基線可以是 RTM 版本或 Service Pack 版本。
- GDR 更新 – 累積僅包含適用於給定基線的安全更新。
- CU 更新 – 累積包含適用於給定基線的所有功能修復程序和安全更新。
對於任何給定基線,GDR 或 CU 更新均為可選項(見下文)。
- 如果 SQL Server 安裝了基線版本,則可以選擇 GDR 或 CU 更新。
- 如果 SQL Server 安裝有意只安裝了過去的 GDR 更新,則選擇安裝 GDR 更新包。
- 如果 SQL Server 安裝有意只安裝了以前的 CU 更新,則選擇安裝 CU 安全更新包。
**注意:**您僅有一次機會可以將 GDR 更新更改為 CU 更新。一旦 SQL Server CU 更新應用於 SQL Server 安裝,將無法返回到 GDR 更新路徑。
安全更新是否可以應用於 Windows Azure (IaaS) 上的 SQL Server 實例?
是的。可通過 Microsoft Update 為 Windows Azure (IaaS) 上的 SQL Server 實例提供安全更新,或者客户可從 Microsoft 下載中心下載安全更新並手動安裝它們。
下載鏈接
Microsoft SQL Server
- SQL Server Management Studio (SSMS) 22 - 微軟數據庫管理工具
- SQL Server 2025 - 從本地到雲端的 AI 就緒企業數據庫
- Microsoft SQL Server 2022 RTM GDR & CU20 (2025 年 11 月安全更新)
- Microsoft SQL Server 2019 RTM GDR & CU32 (2025 年 11 月安全更新)
- Microsoft SQL Server 2017 RTM GDR & CU31 (2025 年 11 月安全更新)
- Microsoft SQL Server 2016 with SP3 GDR (2025 年 11 月安全更新)
更多:Windows 下載彙總
